Innovazione
Le Passkey, come smetteremo di usare le password
I consumatori odiano le password, i truffatori le amano. Ecco, allora, l’importanza delle passkey, un’alternativa biometrica e digitale alle password memorizzate manualmente. Le passkey sono stati al centro di recenti novità di prodotto da parte di Visa, Mastercard e altre società di servizi finanziari e pagamenti. Lo sviluppo e l’implementazione delle passkey sono probabilmente una delle novità inerenti alla sicurezza più importanti dell’anno.
Come funzionano le passkey?
In parole semplici, possiamo basarci sull’annuncio di Visa del 16 maggio che riporta un esempio che combina l’esperienza di acquisto fisico e digitale con la sicurezza. Le passkey verranno inizialmente introdotti in Click to Pay, un servizio utilizzato principalmente al di fuori degli Stati Uniti, che collega una credenziale digitale al dispositivo del consumatore. Durante l’acquisto, i commercianti richiedono una credenziale digitale a Visa, che convalida i dettagli del dispositivo e rilascia un token di pagamento. Per i consumatori, il processo prevede di cliccare sul pulsante “acquista ora”, effettuare una rapida scansione facciale e poi visualizzare le proprie carte di pagamento alla cassa. A questo punto potranno scegliere la carta di pagamento preferita.
I vantaggi per la sicurezza:
- Eliminazione dei rischi di phishing: le passkey non sono vulnerabili agli attacchi di phishing poiché non utilizzano segreti condivisi come le password.
- Resistenza al furto delle credenziali: le passkey sono archiviati localmente sul dispositivo dell’utente e non vengono mai trasmessi o archiviati sul server, rendendoli immuni alle violazioni lato server.
- Forte garanzia crittografica: vengono usate due crittografie: una a chiave pubblica, conservata sui server, e l’altra a chiave privata, conservata sul dispositivo dell’utente. In questo modo viene garantito un processo di autenticazione altamente sicuro.
- Riduzione del riutilizzo delle credenziali: ogni chiave è univoca per un servizio specifico, eliminando il rischio di riutilizzare le credenziali su servizi diversi.
- Maggiore privacy dell’utente: le passkey forniscono un metodo di autenticazione più privato, poiché la chiave privata non esce mai dal dispositivo dell’utente.
Casi d’uso reali delle passkey
L’esempio di Visa è stato quello di più alto profilo. Le passkey sono stati implementati anche da altre grandi aziende tecnologiche come Apple, Google e Microsoft, che hanno integrato gli standard FIDO2 nelle loro piattaforme. Ad esempio, “Accedi con Apple” utilizza le passkey per autenticare gli utenti senza password, riducendo notevolmente il rischio di phishing e furto di credenziali. Allo stesso modo, Google ha integrato le passkey nei suoi account per migliorare la sicurezza di milioni di utenti.
Un caso di successo significativo arriva dal gigante giapponese dell’e-commerce Mercari, Inc. In precedenza, affidandosi a password e OTP SMS (password monouso), Mercari ha dovuto affrontare attacchi di phishing costanti e alti costi operativi. L’introduzione delle passkey ha soddisfatto le severe esigenze di sicurezza della loro nuova piattaforma di trading Bitcoin, Mercoin. Eliminando la necessità di ulteriori passaggi di autenticazione, le passkey hanno migliorato non solo la sicurezza ma anche la soddisfazione dell’utente. L’adozione è stata un successo, con 900.000 account registrati e un tasso di successo di accesso dell’82,5%, notevolmente superiore al 67,7% ottenuto con gli OTP SMS. Inoltre, il tempo medio di accesso è passato da 17 secondi con gli OTP SMS a soli 4,4 secondi con i passkey, segnando un notevole miglioramento dell’efficienza.
Le passkey rappresentano il futuro dei pagamenti digitali, offrendo maggiore sicurezza e un’esperienza utente più fluida. Con l’adozione diffusa da parte di società leader del settore come Visa e Mercari, stiamo rapidamente assistendo ad un’innovazione per i pagamenti online sicuri.